e-Archiving und eIDAS-konforme Aufbewahrung: was sie sind, Unterschiede und Vorteile

Mit der Überarbeitung der eIDAS-Verordnung ist e-Archiving Teil der Vertrauensdienste geworden.

Diese Entwicklung markiert den Übergang von rein nationalen Aufbewahrungssystemen zu einem standardisierten europäischen Modell, das Unternehmen und öffentlichen Verwaltungen maximalen rechtlichen Schutz sowie die Interoperabilität digitaler Dokumente im gesamten EU-Binnenmarkt gewährleistet.

Digitale Dokumentenarchivierung: Was ist e-Archiving?

e-Archiving ist ein elektronischer Archivierungsdienst für digitale Dokumente, der deren langfristige Aufbewahrung gewährleistet. Nach den Definitionen von eIDAS 2.0 handelt es sich um „einen Dienst, der den Empfang, die Speicherung, die Einsichtnahme und die Löschung elektronischer Daten und elektronischer Dokumente ermöglicht, um deren Dauerhaftigkeit und Lesbarkeit sicherzustellen sowie ihre Integrität, Vertraulichkeit und den Herkunftsnachweis während der gesamten Aufbewahrungsdauer zu gewährleisten“.

Der Bezug auf die Überarbeitung der europäischen Verordnung zur Regelung der digitalen Identität und der Vertrauensdienste ist von zentraler Bedeutung. In eIDAS 2.0 wird e-Archiving nämlich unter den Vertrauensdiensten aufgeführt. Dadurch entsteht eine neue Kategorie von Archivierungsdiensten, deren Ziel es ist, die Aufbewahrungsregeln in den verschiedenen europäischen Ländern zu harmonisieren.

Qualified e-Archiving: Anforderungen von eIDAS 2.0

Mit der Überarbeitung der eIDAS-Verordnung wird das Qualified e-Archiving eingeführt: Archivierung wird damit zu einem qualifizierten Dienst. Diese Innovation entsteht aus der Notwendigkeit, Archivierungslösungen in den EU-Mitgliedstaaten zu harmonisieren und einen Dienst bereitzustellen, der sich nicht nur auf die Archivierung von Dokumenten beschränkt, sondern deren rechtliche Gültigkeit über Jahre hinweg gewährleistet, indem Dauerhaftigkeit, Integrität und Authentizitätsnachweis sichergestellt werden.

Gemäß der EU-Verordnung ist ein qualifizierter elektronischer Archivierungsdienst „ein elektronischer Archivierungsdienst, der von einem qualifizierten Vertrauensdiensteanbieter bereitgestellt wird und die Anforderungen gemäß Artikel 45-undecies erfüllt“. 

Qualified e-Archiving-Dienste müssen folgende Anforderungen erfüllen:

• Sie werden von qualifizierten Vertrauensdiensteanbietern (QTSP) bereitgestellt;
• Sie verwenden Verfahren und Technologien, die die Dauerhaftigkeit und Lesbarkeit elektronischer Daten während der gesamten Aufbewahrungsdauer gewährleisten und gleichzeitig deren Integrität bewahren;
• Sie stellen sicher, dass archivierte Dokumente vor Verlust oder Veränderung geschützt sind;
• Sie ermöglichen den automatischen Erhalt eines Zertifikats (validiert durch die elektronische Signatur oder das elektronische Siegel des Dienstanbieters), das die Integrität und Authentizität der Dateien bestätigt.

Unterschiede zwischen Qualified e-Archiving und regelkonformer digitaler Aufbewahrung

Die qualifizierte elektronische Archivierung verfolgt im Wesentlichen denselben Zweck wie die regelkonforme digitale Aufbewahrung nach italienischem Recht, nämlich sicherzustellen, dass archivierte digitale Dokumente im Laufe der Zeit intakt, lesbar und rechtlich gültig bleiben. 

Es gibt jedoch einen subtilen, aber wesentlichen Unterschied: Während die italienische regelkonforme Aufbewahrung, die auf dem CAD und den AgID-Leitlinien basiert, ein rein nationales Konzept ist, genießt die „qualifizierte“ Version eine automatische Anerkennung in allen Mitgliedstaaten der Europäischen Union. Der rechtliche Wert archivierter Dokumente erstreckt sich somit über nationale Grenzen hinaus. 

Darüber hinaus sind die von eIDAS für Qualified e-Archiving vorgesehenen Anforderungen strenger als die italienischen:

• Beweiskraft: Die italienische regelkonforme Aufbewahrung garantiert die Gültigkeit von Dokumenten, doch im Streitfall entscheidet das Gericht über deren Beweiskraft; qualifizierte digitale Archivierung führt dagegen eine gesetzliche Vermutung der Integrität ein;
• Konformitätszertifizierung: Auf europäischer Ebene anerkannte qualifizierte Diensteanbieter unterliegen regelmäßigen Konformitätsprüfungen;
• Internationale Standards: In Italien ist die Einhaltung von ISO-Standards häufig Voraussetzung für eine Akkreditierung, ihre Umsetzung kann jedoch variieren. eIDAS 2 schreibt verbindliche ETSI-Standards vor (wie ETSI EN 319 401), die genau festlegen, wie technische Kontrollen umgesetzt werden müssen, und sicherstellen, dass Dokumente in allen 27 Mitgliedstaaten der Europäischen Union lesbar und gültig sind.

Vorteile von e-Archiving für Unternehmen und öffentliche Verwaltungen

Im Vergleich zur klassischen italienischen regelkonformen digitalen Aufbewahrung bietet qualifiziertes e-Archiving mehrere Vorteile, die sich wie folgt zusammenfassen lassen:

• Gesetzliche Vermutung von Integrität und Herkunft: Das Dokument gilt rechtlich als authentisch und unverändert;
• Compliance: e-Archiving gewährleistet die vollständige Einhaltung sowohl des Rechtsrahmens der Europäischen Union als auch der italienischen gesetzlichen Bestimmungen;
• Interoperabilität: Qualified e-Archiving ist ein europäischer Vertrauensdienst, sodass ein Archiv, das von einem qualifizierten Anbieter erstellt wurde, automatisch in allen europäischen Ländern lesbar und akzeptiert ist;
• Berichte und Zertifikate: Das eIDAS-System ermöglicht den Erhalt automatisierter Berichte (digital vom Anbieter signiert), die den Status der Dokumente bestätigen und somit jederzeit einen rechtlich belastbaren Nachweis der Gültigkeit liefern;
• Automatisierung von Dokumentenmanagementprozessen;
• Verbesserte Sicherheit und Datenschutz: Beim e-Archiving wird jedes Dokument mit einem Zeitstempel versehen, der den Zeitpunkt der Archivierung mit absoluter Genauigkeit bestätigt. Darüber hinaus müssen Anbieter sehr hohe Sicherheitsstandards einhalten, darunter den Einsatz von Verschlüsselungsalgorithmen, die auch komplexen Angriffsversuchen standhalten, sowie Disaster-Recovery-Pläne zur Wiederherstellung von Dateien.

Zertifizierte Dokumentenaufbewahrung: So funktioniert es 

Der e-Archiving-Dienst kann on-premise, cloudbasiert oder hybrid bereitgestellt werden. In jedem Fall muss er von einem qualifizierten Vertrauensdiensteanbieter (QTSP) bereitgestellt werden, der für e-Archiving in der EU Trusted List akkreditiert ist. Im Vertrag muss außerdem angegeben sein, dass der Dienst gemäß der eIDAS-Verordnung erbracht wird.

Unternehmen müssen außerdem das Aufbewahrungshandbuch aktualisieren und darin angeben, dass der Prozess nun der eIDAS-2-Verordnung folgt und den neuen qualifizierten Anbieter nennt.

Sobald e-Archiving aktiviert ist, können bereits archivierte Dokumente zwei Wege gehen:

• Requalifizierung: Der QTSP versieht bestehende Dokumente mit einem neuen qualifizierten elektronischen Siegel und passt sie an den europäischen Standard an;
• Koexistenz: Bereits archivierte Dokumente können im italienischen System der regelkonformen Aufbewahrung verbleiben, während alle neuen Dokumente im neuen System archiviert werden.

Um automatisierte Berichte zu erhalten, genügt es, beim Anbieter die Zugangsdaten oder APIs anzufordern, die für den Zugriff auf die Funktion „Integritätsnachweis“ erforderlich sind.